Ransomware: Angriffe über Remote Dienste

Mehr als die Hälfte der Ransomware-Angriffe beginnen mittlerweile damit, dass Kriminelle Schwachstellen in entfernten und internetfähigen Systemen ausnutzen, da Hacker versuchen, nicht gepatchte Cybersicherheitslücken auszunutzen.

Laut einer Analyse von Ransomware-Vorfällen im vergangenen Jahr durch Forscher des Sicherheitsunternehmens Secureworks begannen 52 % der Angriffe mit böswilligen Hackern, die Remote-Dienste ausnutzten.

Schwachstellen in Internetanwendungen sind zum häufigsten Angriffsvektor für Ransomware-Operationen geworden. Oftmals sind diese Internetanwendungen in Unternehmensumgebungen auf der ganzen Welt Standard, was sie zu einem sehr verlockenden Ziel für böswillige Hacker macht.

Diese Anwendungen und Dienste sind möglicherweise mit dem Internet verbunden, weil die Unternehmen sie benötigen, um ihren Mitarbeitern die Arbeit aus der Ferne zu ermöglichen – oder die Unternehmen sind sich gar nicht bewusst, dass diese Anwendungen überhaupt mit dem Internet verbunden sind.

Laut Secureworks gehören zu den Schwachstellen, die für Ransomware-Angriffe genutzt wurden, Schwachstellen in Microsoft Exchange Server, Schwachstellen in Fortinet VPNs, eine Schwachstelle in Zoho ManageEngine, ADSelfService Plus und andere – für alle diese Schwachstellen gibt es offizielle Fixes von den Anbietern. Doch selbst wenn Sicherheits-Patches zur Verfügung stehen, bleiben viele Unternehmen anfällig für die Schwachstellen, weil das Update nicht eingespielt wird.

Das ist vor allem dann der Fall, wenn die Schwachstelle erst kürzlich bekannt wurde und Cyberkriminelle sie so schnell wie möglich ausnutzen, bevor Patches zur Verfügung gestellt werden und die Unternehmen die Möglichkeit hatten, sie anzuwenden.

„Selbst wenn ein Patch vorhanden ist, ist der Prozess des Patchens einer Schwachstelle in einer Unternehmensumgebung weitaus komplexer und langsamer als der Prozess für Bedrohungsakteure oder OST-Entwickler (Offensive Security Tools), öffentlich verfügbaren Exploit-Code als Waffe einzusetzen“, warnt der Bericht.

Das Patchen kann ein mühsamer und schwerfälliger Prozess sein, aber es ist dennoch unerlässlich, um sich vor Ransomware und anderen Malware-Angriffen zu schützen, die auf Schwachstellen in Diensten abzielen, die dem Internet ausgesetzt sind.

Während mehr als die Hälfte der untersuchten Ransomware-Vorfälle damit begannen, dass Angreifer Schwachstellen im Internet ausnutzten, waren kompromittierte Anmeldedaten – Benutzernamen und Kennwörter – der Einstiegspunkt für 39 % der Vorfälle.

Benutzernamen und Kennwörter können auf verschiedene Weise gestohlen werden, z. B. durch Phishing-Angriffe oder die Infizierung von Benutzern mit Malware, die Informationen stiehlt. Es kommt auch häufig vor, dass Angreifer schwache oder gängige Passwörter mit Brute-Force-Angriffen knacken.

Andere Methoden, die Cyberkriminelle als Ausgangspunkt für Ransomware-Angriffe verwendet haben, sind Malware-Infektionen, Phishing, Drive-by-Downloads und die Ausnutzung von Netzwerkfehlkonfigurationen.

Unabhängig davon, welche Methode zur Initiierung von Ransomware-Kampagnen verwendet wird, warnt der Bericht, dass Ransomware eine große Bedrohung bleibt, die sich aus Lücken in den Sicherheitskontrollrahmen speist.

Trotz der Herausforderungen, die mit der Vorbereitung auf Ransomware und andere bösartige Cyber-Bedrohungen verbunden sein können – insbesondere in großen Unternehmensumgebungen – empfehlen die Secureworks-Forscher, dass die Anwendung von Sicherheits-Patches eine der wichtigsten Maßnahmen ist, die Unternehmen zum Schutz ihrer Netzwerke ergreifen können.

Eine andere Form des Schutzes, die nach Ansicht der Forscher zur Verhinderung von Ransomware-Angriffen eingesetzt werden sollte, ist die Multi-Faktor-Authentifizierung (MFA).

Durch die Anwendung von MFA, insbesondere bei Anwendungen und Konten, die auf kritische Dienste zugreifen, wird es für Cyberkriminelle sehr viel schwieriger, in das Netzwerk einzudringen und sich dort zu bewegen – selbst wenn sie das richtige Passwort haben. Schritte wie diese können einen wesentlichen Beitrag dazu leisten, Ransomware-Angriffe zu unterbrechen, bevor sie überhaupt beginnen.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago